Wszystkie cztery naruszenia w pigułce
Naruszenia opisane przez UODO dotyczyły kolejno:
- Ataku z wykorzystaniem oprogramowania typu ransomware, przy czym do zdarzenia doszło w wyniku uzyskania przez atakującego loginu i hasła administratora – atakujący uzyskał w ten sposób dostęp do danych osobowych studentów, słuchaczy studiów podyplomowych i (współ)pracowników SWPS Uniwersytetu Humanistycznospołecznego. Urząd zaznaczył, że SWPS współpracuje z inną uczelnią (Collegium Da Vinci), z którą współdzieli nie tylko należący do niej budynek, lecz także administrowaną przez nią sieć komputerową znajdującą się w tym budynku;
- Nieuprawnionego dostępu do danych pracowników i studentów poprzez złamanie zabezpieczeń jednej z platform edukacyjnych – Politechnika Warszawska – administrator danych – ostrzegła, że w związku ze zdarzeniem może nastąpić nielegalne wykorzystanie danych jej pracowników i studentów. Jednocześnie UODO zaznaczył, że administrator zgłosił naruszenie zarówno osobom, których dane dotyczą, jak i odpowiednim służbom, w tym policji i Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT GOV, CSIRT MON oraz CSIRT NASK;
- Omyłkowego udostępnienia danych przez pracownika firmy informatycznej podczas uruchamiania nowej strony internetowej – naruszenie dotyczy PANEK S.A. – znanej sieci wypożyczalni samochodów. Jak wskazuje UODO, „podczas procesu uruchamiania nowej witryny WWW zostały skopiowane pliki starej witryny do nowego folderu, który powinien być ukryty, a został udostępniony. (…) Pracownik firmy informatycznej popełnił błąd i nie ukrył plików”;
- Naruszenia poufności danych klientów – ostatnie, najbardziej enigmatyczne naruszenie, dotyczy Fortum Marketing and Sales Polska S.A. – sprzedawcy prądu, gazu i ciepła dla domu. Do zdarzenia miało dojść podczas wprowadzania zmian związanych z wydajnością w środowisku teleinformatycznym. Aktualizacja: skutkiem tego naruszenia było wszczęcie przez Prezesa UODO postępowania administracyjnego przeciwko spółce.
Co wszystkie naruszenia mają ze sobą wspólnego?
Przyczyny zdarzeń zgłoszonych Prezesowi UODO miały charakter zarówno zewnętrzny (działanie osoby spoza organizacji) – umyślny (atak hakerski), jak i wewnętrzny (działanie współpracownika administratora) – nieumyślny (błąd ludzki) . Wszystkie naruszenia łączy fakt, że dotyczą sfery zabezpieczeń technicznych (i w pewnym zakresie być może również organizacyjnych), czyli szeroko pojętych kwestii bezpieczeństwa informacji. Mimo że z pozoru są podobne, każde z nich zwraca uwagę na trochę inny problem. Z kolei sposób, w jaki do naruszeń odniósł się UODO, pozwala wyciągnąć z nich przydatne dla administratorów wnioski.
Nie pokusilibyśmy się o stwierdzenie, że każdego z tych czterech naruszeń dało się uniknąć, bo żadna organizacja nie jest w stanie zabezpieczyć swoich danych w stu procentach, lecz podjęcie odpowiednich działań w odpowiednim czasie z pewnością pozwoliłoby zmniejszyć skutki zdarzenia i ograniczyć ryzyko związane z nałożeniem kary przez Prezesa UODO.
Jakie błędy mogli popełnić administratorzy?
Najmniej przewidywalną grupą przyczyn naruszeń są ataki hakerskie. Ten, do którego doszło na Uniwersytecie SWPS, był atakiem ransomware, czyli złośliwego oprogramowania, które blokuje dostęp do komputera, dopóki odpowiednia suma okupu nie zostanie uiszczona na konto przestępcy. Szantażującym co do zasady przyświeca cel w postaci wyłudzenia płatności, w zamian za którą obiecują usunięcie infekcji (co jednak niekoniecznie musi nastąpić).
Jakich działań najczęściej nie podejmują organizacje, które padają ofiarami tego typu ataków?
Przede wszystkim:
- nie tworzą regularnie kopii zapasowych i nie przechowują plików w bezpiecznym miejscu (takim jak np. urządzenie pamięci masowej offline);
Uwaga: podczas ewentualnej kontroli pracownicy UODO mogą poprosić o wgląd do polityki tworzenia kopii zapasowych (backupów) na dowód tego, że w organizacji faktycznie funkcjonują procedury, dzięki którym mimo ataku nie zostanie naruszona dostępność danych. - w ogóle nie instalują na sprzęcie komputerowym odpowiedniego programu antywirusowego albo na bieżąco go nie aktualizują;
UODO może dopytywać administratora o takie kwestie, jak konfiguracja systemu antywirusowego (np. czy pracownik-użytkownik ma możliwość jego wyłączenia lub innego wpływu na konfigurację), systematyczna aktualizacja systemu i wykorzystywanych przez niego sygnatur wirusów czy zainstalowanie go na każdym komputerze wykorzystywanym w organizacji. - nie przykładają odpowiedniej wagi do edukacji personelu.
Najczęściej ransomware rozprzestrzenia się, podszywając się pod fakturę, dokument zamówienia, CV czy inny niepozornie wyglądający załącznik do e-maila. Niestety system antywirusowy nie jest lekiem na całe zło – nawet przy znaczącym budżecie przeznaczanym na zabezpieczenia techniczne jeden nieuważny, słabo przeszkolony pracownik jest w stanie zniweczyć wysiłki całej organizacji.
Ataki hakerskie to nie wyłącznie szkodliwe oprogramowanie, które ma zmusić zaatakowaną organizację do określonego zachowania, lecz również działanie ukierunkowane na celowe pozyskanie danych i wykorzystanie ich np. do kradzieży tożsamości. Hakerzy dążą do pozyskania jak największej ilości informacji umożliwiających identyfikację osób – im więcej danych, tym większe spektrum możliwości ich wykorzystania. Większość cennych informacji, takich jak PESEL, numer i seria dokumentu tożsamości, dane kont bankowych i numery kart płatniczych, jest przechowywana na kontach internetowych chronionych hasłem, przez co hakerzy często skupiają się na odgadnięciu lub kradzieży danych logowania.
Aby zapobiec potencjalnym atakom, a w sytuacjach gdy i tak do nich doszło – być w stanie wykazać organowi nadzorczemu, że jako organizacja dołożyliśmy wszelkich starań w celu zapewnienia bezpieczeństwa przetwarzanym przez nas danym, warto rozważyć:
- przeprowadzenie testów penetracyjnych , czyli atak hakerski w warunkach kontrolowanych. Podczas przełamywania zabezpieczeń określonych aplikacji webowych, mobilnych czy innych zasobów infrastrukturalnych jesteśmy w stanie zidentyfikować potencjalne luki w systemach, a następnie podjąć adekwatne działania naprawcze;
- szyfrowanie danych – zapewnienie pełnego bezpieczeństwa danych jest wręcz niemożliwe, dlatego każda organizacja powinna myśleć o sobie jako o potencjalnej ofierze hakerów. Skuteczną metodą ograniczenia skutków takiego ataku do minimum jest zapisywanie danych w zaszyfrowanej postaci i przechowywanie klucza oddzielnie od danych. Nawet jeśli atakujący uzyska dostęp do systemu, znajdzie tylko niemożliwe do odczytania informacje;
- audyt, tj. sprawdzenie (przykładowo) strony WWW lub aplikacji webowej pod kątem potencjalnych luk bezpieczeństwa i tym samym znalezienie wad/błędów w kodzie witryny oraz oprogramowaniu serwera, które umożliwiają przeprowadzenie ataku.
Na co z pewnością zwróci uwagę UODO podczas analizy zgłoszonych naruszeń?
Analiza informacji o naruszeniach opublikowanych przez UODO pozwala na wysnucie przypuszczenia, że w przytoczonych stanach faktycznych dla organu nadzorczego szczególnie istotne mogą być następujące kwestie:
- reakcja na stwierdzone u administratora naruszenie ochrony danych osobowych – w informacji o naruszeniu wykrytym na Uniwersytecie SWPS Urząd podkreślił, że w momencie zgłaszania naruszenia administrator nie poinformował osób, których dane dotyczą, o zaistniałej sytuacji. Natomiast do Fortum Marketing and Sales Polska S.A Prezes UODO skierował wystąpienie o podjęcie działań mających na celu niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych. Należy pamiętać, że administrator ma obowiązek dokonać analizy, czy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (np. przy użyciu kalkulatora wagi naruszeń) – jeśli tak, bez zbędnej zwłoki należy zawiadomić o nim osoby, których dane dotyczą (art. 34 RODO);
- niedokładne przedstawienie stanu faktycznego związanego z naruszeniem – wraz z decyzją o wszczęciu postępowania administracyjnego przeciw spółce Fortum, Prezes UODO wezwał również spółkę do przedstawienia dalszych, szczegółowych informacji związanych z naruszeniem, m.in. w zakresie okoliczności naruszenia oraz kategorii danych osób, których dotyczy naruszenie. Pytanie, na jakim stopniu ogólności te informacje zostały poruszone w formularzu zgłoszenia naruszenia.
- odpowiednie uregulowanie powierzenia przetwarzania danych osobowych – przy opisie naruszenia danych na Uniwersytecie SWPS znajduje się również informacja o tym, że administratorem sieci komputerowej współdzielonej przez niego z inną uczelnią była właśnie ta inna uczelnia. Z kolei w PANEK S.A. bezpośrednim sprawcą naruszenia był pracownik zewnętrznej firmy informatycznej. W obu sytuacjach nie ulega wątpliwości, że UODO dokładniej przyjrzy się temu, czy z podmiotami zewnętrznymi mającymi dostęp do danych została zawarta zgodna z RODO umowa powierzenia (sprawdź przygotowany przez nas wzór umowy powierzenia przetwarzania danych osobowych);
- świadomość pracowników – jest raczej mało prawdopodobne, że podczas kontroli pracownicy UODO zadowolą się deklaracją administratora, że w organizacji są przeprowadzane szkolenia z ochrony danych osobowych. Administrator powinien być w stanie wykazać, po pierwsze kiedy i czy w ogóle takie szkolenia przeszedł cały personel pracujący na danych (w czym mogą pomóc zaświadczenia/certyfikaty o ukończeniu szkolenia i funkcjonująca w organizacji procedura, zgodnie z którą nowo zatrudnione osoby muszą być przeszkolone przed dopuszczeniem ich do pracy na danych), po drugie że szkolenie nie było tylko formalnością – np. podnoszenie świadomości pracowników ma charakter ciągły (choćby w postaci cyklicznych wiadomości przypominających pracownikom o zasadach przetwarzania danych, postępowania z powierzonym sprzętem oraz o zagrożeniach).
Świadomość pracowników jest szczególnie istotna teraz, w dobie koronawirusa i pracy zdalnej. Odpowiadając na tę potrzebę, przygotowaliśmy bezpłatne szkolenie „Zasady bezpiecznej pracy zdalnej„, które dostarczy wiedzy osobom mającym pracować zdalnie, rozwinie ich umiejętności, a także nauczy pożądanych zachowań.
Wnioski
Tak intensywne działania UODO mimo ogłoszonego stanu epidemii prowadzą do jednego wniosku – wyjątkowa sytuacja w kraju nie będzie dawała przyzwolenia na pobłażliwe traktowanie kwestii związanych z ochroną danych osobowych i bezpieczeństwem informacji. Urząd kieruje do administratorów jasny sygnał, że dane osobowe nie powinny ucierpieć podczas kryzysu epidemicznego. Dzięki obserwacji aktualnej działalności UODO i analizie podejmowanych przez niego działań można się domyślać, że obecnie obszarem jego szczególnych zainteresowań są właśnie naruszenia ochrony danych osobowych. W następnym artykule postaramy się przybliżyć najczęstsze błędy przy zgłaszaniu i obsłudze naruszeń ochrony danych osobowych.